细数9种被误读的网络

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

误读1:带宽是网络性能瓶颈

误读剖析

1.不要过分相信“命令”

网络带宽是指端到端的可用带宽,绝对不是简单的认为就是自己出口的带宽数值。另外,网络带宽是分两个方向分别来看的,目前大部分骨干以下的链路上下行两个方向可用带宽明显不对称,一般是下行大于上行,而在骨干以上及出口链路上两个方向数据链路的可用带宽比较接近。因此,区别不同方向的链路带宽是必要的。如何得到不同方向的链路在不同的时段还有多少剩余的带宽可供使用、是否拥塞、链路带宽是否可以满足当前业务和将来新业务的开展的基本需要。

细想一下,我们才发现,广域网里数据包所经过的路由器或交换机的机会会大大增多。而这些路由器或交换机对数据包的转发会形成微小的延迟,多次的微小延迟就会形成积累作用。另外,在广域网上TCP/IP 协议的效率极为低下,比如,分支机构的用户打开存储在总部服务器上一个演示文稿时,这需要在客户端和服务器之间进行多次的重复“握手机制”,即使在高速的广域网联路上,TCP协议的表现也不能让人满意。因为通过三个重复的ACK来判断分组丢失的情况要比超时对网络的影响更多,因此TCP连接会花费大多数时间在拥塞避免算法上。

我们测试网络连通性的命令主要有ping或tracert,他们往往会受到防火墙和路由设置的限制而无法解决指标测量问题。即使没有这些限制,这些命令结果反映的双向时延也不能说明问题的本质,因为只有上下行两个方向分别单独测量的结果才能表明问题的真实情况。

2.服务器和程序设计问题

带宽一般分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其它背景流量时,网络能够提供的最大的吞吐量。可用带宽是指在网络路径(通路)存在背景流量的情况下,能够提供给某个业务的最大吞吐量。我们通常把这两种带宽的数值表述当作网络管理的要点来看,殊不知很多问题出在服务器和程序设计方面。

很多企业的Web服务器低效运行的主要原因不是服务器的系统配置不到位,而是Web服务系统没有优化。在连接数量较少的情况下,客户端和服务器都不会有明显感觉,但在数百条同时连接的情况下,Web服务进程的性能局限性就变得非常明显。比较明显的就是许多企业设计用于支持业务流程的Web服务内容,但这些服务都是运行在通用操作系统上,( OS本身并没有优化),而在程序开发阶段也没有对Web服务的功能充分测试,进而限制了Web服务器处理数千条TCP连接的能力。问题的根源在于与输入/输出(I/O)相关的软件架构,而不是RAM容量或CPU的时钟频率。

3.病毒对带宽的干扰

近段时间以来,很多局域网出现了大范围的网络中断现象,这大多是因为个别用户计算机感染某种ARP病毒导致。而这种病毒的危害的影响程度往往超出了网管人员的预期,很多ARP病毒可能已衍生新的变种,这些病毒发作时,其他用户不能再通过arp命令查看网关的物理地址,使用相关的Antiarp软件也无法起到相应的作用。

以财政专网为例,如果网络突然缓慢,在重要数据往来的时间段,留给系统管理员的响应时间只有宝贵的十几分钟、甚至几分钟。而且,蠕虫病毒对网络速度的影响越来越严重,例如“网络天空”等邮件蠕虫病毒,它们导致被感染的用户只要一连上网就不停地往外发邮件,病毒选择用户个人电脑中的随机文档附加在用户的通讯簿上,通过随机地址进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送,有的又成批地被退回来堆在服务器上。这都造成个骨干线路出现明显拥塞,甚至在蠕虫泛滥的局域网中,瘫痪的事件屡有发生。由此可见,我们在增加带宽之前最好要排除病毒问题。

4.网络中的压缩技术

除去增加网络带宽之外,还有一些比较实际的解决办法,例如“压缩技术”。在电信术语中,压缩的定义是:“通过消除相同的或在后续的采样间隔中没有变化的位串,来减少对信息或信号编码时所需的位数量或带宽的技术”。与增加带宽作用相同的包括比较典型的MSR(分子序列压缩)技术。

MSR技术在广域网数据加速的主要表现为:数据包压缩以后才进行转发。它可以把很多压缩的信息包封装在特定输出信息包中,用来进行广域网传递。通过信息压缩处理,需要传输的数据包的数量大量减少。另外,MSR的分析算法还检测通信中重复的样式,并构造在组织上传输的主要样式的动态词汇,构造全面的知识库,有时也称作“MSR字典”。随着从网络通信延伸和继续,它会了解到更多的样式和相关性,而知识库将不断更新,那些没有用处的样式记录会被重新排列的新样式所替换。采用这种方式,MSR的知识库将与网络的动态语言和通信特征不断保持同步。

建议

无限的增加带宽不如合理的分析网络中的应用,部署智能的服务保障体系。我们需要提高对网络流量的监控能力,实现网络流量协议的划分,如:Web浏览(HTTP)、电子邮件(POP3、SMTP、WEB MAIL、文件下载(FTP)、即时聊天(MSN、QQ等)、流媒体(MMS、RTSP)等。针对不同 的网络应用协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常占用可用带宽的情况,就有可能是攻击流量或蠕虫病毒出现。

再者,针对现有广域网应用,部署QoS也可以起到加速的作用。因为QoS强调网络的充分可控性,即需要对网络资源和用户行为进行严格的约束和控制。至今为止,在IP网络上实现QoS已经有了若干可行的方案,包括IntServ、DiffServ、SCORE、DPS等。在这其中,进入网络工程领域的是基于MPLS的QoS方案,许多企业已经充分将VPN与之同步部署。MPLS是面向连接的,是ATM技术在IP网络内扩展,通过在网络中间节点上维护一定的状态信息,保证分组在网络中流动时的可控性,是电信网络设计思想在互联网中的渗透与融合。

解决方案

伟世盾安公司在流量整形、带宽管理技术上的实施是通过公司的网络应用流量管理器(WATM)产品系列达到的。WATM所提供的四项手段帮助使用者简单快捷地达到有效地管理带宽的目的。

1) 分类

WATM能够自动地发现和识别近百种类型的信流,而且经常识别出没被管理员发现的潜入网络的应用程序。在OSI网络模型中,WATM不仅可以识别传统的第四层流量,而且可以辨别出第七层的流量特征,从而区分不同协议和应用程序。通过这种能力,复杂的视频会议所使用的协议簇能够很好的被识别出来。

2) 监视

分类功能识别了网络上的各类流量,监视功能则显示这些流量的运行状态,它帮助找出问题所在和相应管理策略的线索。WATM跟踪平均和高峰信息流量,识别最大的用户和应用程序,并且评估网络效率。

这样,管理人员就对目前网络资源使用状态有了充分的了解,为下一步实施带宽管理准备了充实的数据依据。

3) 控制

WATM提供灵活的带宽管理工具以帮助用户实施高效的带宽管理策略。

虚拟带宽:为某一类的流量带宽使用总量设定上限和下限,确保某类流量有足够带宽而不受其他类别的影响,或者以上限带宽总用量限制某类流量不能超过某一限额。

带宽策略:为某一类的流量中的每个会话的带宽使用量设定上限和下限,确保这类流量的每一会话有足够带宽以保障质量或最低响应时间延迟。

WATM充分运用了队列整形技术,明晰地管理带宽资源和平整突发性IP流量。与基于路由器的解决方案相比,WATM积极地对信息传输进行双向整形,结果,WATM使每个应用程序都实现了稳定、迅捷、便于控制的性能。同时,队列控制技术充分应对了TCP和UDP流量,比某些公司仅仅宣称的TCP速率控制技术来的更加全面。

4) 报告

WATM对各分类的流量进行统计数据收集并提供在线图表报告。这些大量的数据和图表帮助用户对网络资源分配和使用的过去、现在和将来趋势都有很好的了解,达到有效管理带宽的目的。

典型方案

WATM产品实施管理带宽的典型应用如图所示。

从上图可以看出,WATM的安装位置位于广域网接口路由器和局域网交换机之间,所有经过WATM到WAN的数据流都可以被其进行管理。

WATM自04年10月起在国内销售以来,已经拥有为数不少的客户,包括山东联通、国家旅游局、华北计算机研究所、上海南汇教育局、上海音乐学院、北大附小、灵智大洋等等,分散在电信、政府、教育、企业等不同行业。

误读2:防火墙让网络固若金汤

误读剖析

防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。可是传统意义上的包过滤防火墙有很多弊病:在通信方面,包过滤防火墙只能访问部分数据包的头信息;在状态监管方面,包过滤防火墙是无状态的,所以它不可能保存来自于通信和应用的状态信息;在信息处理方面的能力也是有限的。

比如Unicode攻击,以及“代码注入技术”,因为这种攻击是选择了防火墙所允许的80端口,而包过滤的防火墙无法对数据包内容进行核查,因此此时防火墙等同于虚设,即使在防火墙的屏障之后,也会被攻击者轻松拿下超级用户的权限。

1.防火墙是一个静态的设备

随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。

传统的计算机安全模型中,美国国防部NCSC国家计算机安全中心于1985年推出的TCSEC模型是静态计算机安全模型的代表,也是目前被普遍采用的安全模型。如图2所示。

PPDR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response (响应)。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。

2.高频词“安全木桶”

网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是客户端用户系统自身的复杂性、和随意性较强,即使使用一些技术保护也可以说防不胜防。网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”,“安全木桶”这个词在网络安全领域是出现频率非常高的用词。

但是,依然有相当一部分人认为黑客、病毒、系统加固等就已经涵盖了信息安全的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种片面的看法对一个组织实施有效的信息安全保护带来了不良影响,有许多例子都可以举出来。

3.网络安全是一种“补充”

多数的企业网络建设中都会将有限资金放到网络边界和基础设施上,但是对计算环境尤其是终端安全的资金投入和重视程度不高。这种资金投入的比例严重失调必然会造成“短板效应”。

网络安全是一个系统,它不是防火墙,不是入侵检测系统,也不是我们虚拟专用网,当然,也不是哪个网管员根据厂商或者网上的一些资料加固系统范例。

我们常说的访问控制列表,它能够基于主机防火墙、文件访问控制为您提供网络层面和文件层面的控制,但它不是一个系统。对于一个真正的网络安全系统,以需要应用特定的威胁防御方法作为技术补充。例如在NTFS文件系统中,如果您针对了用户设置“读取访问权限”,那么这些访问文件的用户真的就不能修改这些文件了吗?答案是否定的。

我们设想一下,如果这个用户将可读取的文件存储为副本,那么这个文件的从属权是不是已经丢失了。所以,在文件访问控制列表的基础上增加数字证书或者水印功能,都是对访问控制列表的补充应用。

建议

如此看来,仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的软件版本最新、最安全,还要时时关注操作系统的漏洞报告,时时密切关注网络,寻找可疑活动的迹象。此外,他们还要对使用网络的最终用户给出明确的指导,劝他们不要安装没有经过测试的新软件,打开电子邮件的可执行附件,访问文件共享站点、运行对等软件,配置自己的远程访问程序和不安全的无线接入点,等等。

误读3:超级网管代替网管软件

误读剖析

如果企业内部计算机和网络以及服务器等设备出现了问题,都要由网络管理员在第一时间发现问题并解决问题,对任何一个网络的管理员来说的确不公,一个企业光有一名好的网络管理员是远远不够的,还需要有一套优秀的设备管理方案,或者说是一套优秀的管理软件,只有这样才能配合网管员更好的完成管理的任务。

1.超级网管的压力

在错综复杂的信息环境,企业要想吸取有效信息,就必须面对跨越异构环境(硬件平台、操作系统、数据库平台……)带来的层层障碍。随着企业成长发生的变化,在异构环境下的企业数据中心,其中的数百台各种品牌的服务器和存储设备中跑着各种应用,管理起来就成了大问题。处在复杂网络环境中的信息系统管理人员面临着来自企业各个方面的压力。他们要求IT环境下的一切都能“正常运转”,例如,随时随地访问信息资料并收发电子邮件;与内部团队成员及外部合作伙伴实现即时协作;开辟更多门户,召开更多视频会议,并提供其它协作工具;允许以程序员以自助方式调用服务器等等。

走在中关村的大街上,我时常看到一个个技术高手模样的同行(黑色的眼袋,零乱的头发,背着个IBM的包包),他们估计都是睡得比较晚,导致肾上腺皮脂激素分泌紊乱。很多时候,我非常敬佩的一些网络管员,他们用无限的学习和工作时间,甚至在用自己的身体健康去换得网络的稳定和安全。

2.过分依赖SNMP

SNMP(Simple Network Management Protocol),即简单网络管理协议。SNMP最初的标准确定之后,很快被众多的厂商设备所支持,并且发展到并不“简单”的地位。在这期间,一是因为SNMP的简单性(SNMP只关注于一些简单的数据、特性和变量),二是由于网络管理员和系统管理员的“从众心理”,SNMP得到了长足的发展。它被广泛接受并成为现今网管软件基础架构的鼻祖,经过三次的版本演化,它在网管人员和系统工程师的心中可以说根深蒂固。很多管理员甚至将SNMP管理视为发现和解决一切故障的法宝,但随着网络和系统管理任务的增多,自己编写脚本就显得越发的复杂和吃力,例如操作系统、数据库和邮件系统的更新换代,以及跨平台数据库的统一管理,都使得很多人已经陷入了系统管理的泥潭,无法自拔。

另外,SNMP的关注点和现实中的网络管理有很大出入。如今的网络管理是一项庞大而复杂的工程。导致网络故障发生往往由于多种原因,既可能是“一因多果”,也可能是“一果多因”。我们举一个服务器的性能管理例子:SNMP只会告诉我们它工作的状态,但不会告诉我们资源的使用应该如何优化。

SNMP的重心都同样在于装置的监看和控制,但整体的网络管理将装置视为是整体,或是一群相关服务的集合。而SNMP很多时候将提供服务的设备视为是系统的一小部份。您也可以这样来看待两者的差别:一者是只关心特定装置的顺利运转(SNMP),另一者是关心整体网络的健全运作与长远发展。

3.手工管理的缺陷

有的时候,我们很难对所有的系统错误都能够迅速排除,这具有很高的挑战性,几乎不可能完成。用户会根据经验一步一步地检查故障,如ping一下路由器、检查一下系统CPU使用率、内存使用率等。网管人员一边思考、一边检查,耗时长,而网络瘫痪时间越长,企业的损失就越大。手工管理网络在效率低下的同时,还具有很大的随意性,在没有同一规范的前提下,很容易漏掉一些关键点,埋下隐患。尤其是一个网络中只有管理员的时候,他不可能是个“全面手”,不可能面对不同版本的操作系统、数据库系统、Web应用系统、邮件系统都成为专家。

建议

以前当网络出现故障时,许多企业会请专家来帮助分析,帮助调理网络,在付费的同时还欠下了一笔“人情债”。而当系统出现问题的时候,简单的通过再购买一些服务器来解决问题。

智能化的网管软件代替手工脚本的原因在于:智能网管能够自动获得网络中各种设备的技术参数,进而智能分析、诊断,预警。将整个网络中存在的丝毫隐患排出,遇到故障后第一时间知晓,加速恢复,支撑企业信息系统的RPO(恢复点目标)和RTO(恢复时间目标)不是一个“超级网管”能过负担起的。曾经走过风雨的网管员都清楚,运维一个网络要比组建一个网络更加难上加难。而现在您可能会考虑购买网管软件来加强网络管理,以优化现有网络性能,逃脱故障的束缚,开始恢复您的自信。

误读4:网络管理=设备管理

误读剖析

现代化的信息网络已经渗透到社会生活的各个方面,目前越来越多的企业、单位的业务工作都建立在网络平台基础之上。然而人们在享受网络带来的便利同时,也不得不忍受网络带来的各种问题,管理人员也发现网络越来越难以驾驭,看似完善、稳定的网络环境却无法捉摸,这是什么原因呢?

通过多年来和各行业信息部门的深入合作,我们发现,正是因为网络深入到工作生活的各个方面,所以网络的复杂性往往被低估,使得网络管理总是陷入到被动的局面,网络正在被人们、甚至管理人员所误读,有些用户对于网络管理,目前可能还停留在硬件设备的监控上面。实际上,当前的企业应用复杂多样。对设备的监视已经不能准确反映企业网络的健康状况。只有对网络中各种设备,应用的深入、详细的监控,结合综合分析,才能使企业信息系统达到最佳状态。

有些用户常常想通过一款产品解决网络管理中的所有问题,这是比较困难的,整套的网络管理解决方案才能真正解决用户的问题。因为每个产品都有它的主攻方向,多个产品有效的地协调工作起来才能纵深地管理网络。网管员产生这样的误解主要体现在几个方面:

1.对网络理解的偏差

首先很多管理人员对网络的概念还存在一定的偏差,很多管理人员认为网络只是指网络设备和链路的组成,然而现代意义上的网络不应该局限在自身,而应该站在网络业务服务的高度,为网络用户提供稳定的服务,保障业务可用性,所以说现代网络应该由设备、链路、主机、数据库、Internet/Intranet服务、业务应用综合组成。

2.对网络建设和管理的关系认识不清

其次,网络建设和管理的关系之痛,重建设、轻管理是目前的普遍现状,网络建设和管理的不和谐,使管理陷入一个复杂、无序的环境,为管理人员带来的巨大的管理难度。网络建设和管理相符相承、相互促进,才可能为用户提供满意的。

误读5:网络管理和安全相互独立

误读剖析

“网络安全很重要,必须投入足够的资金和人力,以保障网络安全;而网络管理和网络维护则不是非常重要,甚至可做可不做。”近些年来,随着局域网的应用进入各行各业的关键业务流程及网络安全问题的时有发生,人们对网络安全的关注度迅速提高,并把网络安全放在了信息化建设的首位。一方面这说明人们的网络安全意识有了明显的提高,是件好事;但另一方面,由于没有仔细地分析安全问题的根源和片面地看待特定的安全问题,而产生了严重的误区。

很多局域网的管理者孤立地看待网络安全问题。他们认为解决网络安全问题和日常的网络管理和维护没有太多关系,而是只需要购买和使用一些特定的网络安全产品。例如,防火墙、入侵检测、杀毒软件等等。事实上,这些年来人们也确实是这样做的,很多单位投巨资购置了各类网络安全产品,但在网络管理和维护方面却很少投入,其结果是绝大多数单位都没有实现预期的安全目的,管理和维护更是处于很原始的状态。另一方面,传统的安全产品厂家也普遍采用“头痛治头、脚痛医脚”的办法为用户提供安全产品,这也严重地误导了用户,使其误认为安全问题和管理与维护问题没有密切的关系。

由于上述原因,在很多局域网用户单位,出现了大量投资、重复建设,购买了很多种产品,在局域网内严重出现“信息孤岛”现象。最终,也未能实现局域网安全、可靠、高效地运行。

事实上,局域网的安全问题和管理与维护问题是密切地交织在一起的,不能人为地把它们分割开来,不应该也不可能孤立地解决网络安全问题。网络安全问题是由两方面的因素促成的:一是有人破坏;二是网络有漏洞或薄弱环节。这就如同人得病,不仅仅是由于您所处的环境有病菌,更主要的是由于您自身机体的免疫力下降。局域网的安全也符合类似的情况。我们首先必须通过高水平的网络管理和维护,使局域网在高度规范化和标准化的状态下高效运转;其次,才能够使特定的安全产品和机制发挥其应有的作用。

建议

为了真正实现局域网安全,必须把安全、管理和维护问题作为一个整体来考虑。首先,要保证每台计算机实现标准化配置;标准化配置,不是说所有的计算机都是一样的配置,而是说每台计算机的硬件和软件配置都符合工作的需要,不多也不少;其次,是要实现网络计算机使用者行为的规范化管理;这种规范化管理包含了局域网行为的方方面面,如,互联网访问行为,移动移动存储或打印机使用行为和文件操作权限等等。第三,是要保证对整个网络实现高效及时的维护;这包括安全补丁的及时升级,各类网络问题或故障的预警、定位和排除等等。最后,才是落实一系列有针对性的安全措施,

为了实现上述目的,综合解决方案不可能靠来自不同厂家,彼此互不兼容的多种产品罗列而成,而必须是靠一个功能极其丰富的综合系统管理平台来发挥核心作用,同时整合客户已有的其它安全产品,为用户提供安全、管理和维护三位一体的解决方案。

误读6:参数是最重要的

误读剖析

在网络产品的选择上,用户为了获得性能更佳,更稳定的网络,往往偏重于各种参数的大小比较,比如,CPU的频率、内存的大小、背板带宽,端口速率、路由表条目数量,MAC地址表容量等等。

他们认为只要网络产品的参数值越高,其性能就越好,这种误解从本质上讲来源于对于计算机的认识,我们在选购计算机时,有一个共识,那就是CPU主频越高,内存越大、硬盘越快,计算机速度就越高,这个共识在单机层面应该来说基本正确,然而,在网络设备方面可能并不正确,这是因为它忽视了网络核心设备体系结构和软件设计,其实,这才是网络设备能为网络稳定性提供重要保证的基础。

一款网络设备产品当它的CPU具有超高的速度,内存具有超大的容量,背板带宽具有很高的数值,交换容量具有海量的等级时,我们并不能武断的判断出这台网络设备产品性能超强,各种参数优秀只能表明这款网络产品具备成为一款高性能产品的条件,并不说明它就一定会成为性能卓越的产品。

网络产品不同于普通的计算机,一般而言,目前在计算机产品的体系架构方面,大部分计算机产品的设计都遵循着一个相同标准,采用相同的体系架构,甚至大部分计算机产品都安装有相同的操作系统,在这样的条件下,性能参数的高低当然直接决定着系统性能的好坏。然而,网络设备产品则与此不太相同,许多网络产品在体系结构、系统软件方面都存在较大差异,在这种情况下,单单比较参数的高低,意义确实不大。优秀的体系结构可以使得拥有较低参数指标的网络设备在整体性能上不逊于其他采用较高性能参数部件的网络设备产品。

隔行如隔山,用户在网络产品时看到的更多的是基本规格,实际上在市场上的绝大部分交换产品都已经可以做到线速转发,但在实际应用时,却出现了很多交换机死机,网络瘫痪等问题。产生这些问题的根本原因,其实是产品本身的体系架构不合理。

误读7:URL库越大越好

误读剖析

上网行为管理产品的核心是提高用户的工作效率,避免不良网络行为给用户带来的商业和法律风险。和专门的URL过滤器等内容审计产品相比,上网行为管理产品不仅需要过滤网页,还要进行应用和流量的细致管理,包括网络软件的封堵、IM聊天工具的审计、网络流量的分配等。

在上网行为管理行业,很多厂商都急于向用户表明其URL库的强大,例如几百万、甚至几千万的URL库等。由于数据库的搜集是一项很耗时间和精力的工作,数据库的规模也往往成为了很多厂商比较实力的标准之一。

然而,通过和众多的用户交流,我们发现URL库对用户的吸引力并没有厂商想象中的那么大。

首先,URL库的更新往往落后于新网站的出现。每天,Internet上都会涌现出难以计数的网站、博客和论坛,无论厂商组织多大规模的团队去进行URL的搜集,也不可能跟得上网页的增加速度。

其次,上网行为管理的一些核心功能,例如对应用的封堵和限制、对数据的审计和监控,以及对网络流量的分配和优化,这些都是URL库无法实现的功能。当用户的需求从简单的管理网页浏览延伸到需要更全面、更细致的互联网访问控制时,依靠人力堆积起来的URL库显得有些乏力。而如何对各种应用、流量以及潜在的安全威胁实现全面的识别,进而做出正确的判断,才是用户更应该重点关注的问题。

关于什么是识别,我们可以举几个简单的例子:A.网络中刚刚出现一个钓鱼网页,通过伪造电子银行的页面进行诈骗,这属于内容安全的一种。如何在第一时间防止员工访问这个危险网页,这就依赖于准确的识别功能;B.员工利用在办公室上网的机会,在反动的论坛注册并发布不良的言论,这属于外发信息识别。当公安部门发现并追究责任时,如何通过日志来查询到局域网中进行非法活动的员工,这属于对内的识别功能;C.网络流量过大,导致局域网出口封堵或异常缓慢,影响到整个企业的Internet访问,如何去判断是哪些人、哪些应用影响了网络,这当然也应该属于流量识别的范畴。

在识别方面,Websense、BlueCoat、深信服科技等知名厂商都进行了有效的工作。Websense的Web Security Suite软件可以主动发现和即时防范各种Web威胁,例如间谍软件、网络欺诈、病毒等新兴网络安全威胁。BlueCoat的SG系列网关通过内置策略来有效的预防间谍软件。而深信服科技的AC系列网关通过加入了网络准入规则(NAR)、深度内容检测(TCD)等技术,能够更全面的识别企业网络中发生的所有应用、数据和流量,以便管理员做出更完善的管理。

由于识别是行为管理的第一步和最重要的一步,如果识别有误,或者无法识别以上这些应用,那么网络管理者就无法进行准确有效的管理。那么,无论URL库有多大规模,对用户来说不过是一个厂商向其吹嘘的噱头罢了。

成功案例

随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为:

1. 由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,木马、病毒传播迅速,影响规模大,还导致网络长时间处于带毒运行而系统管理员无能为力。

2. 部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢;

3. 个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装报多数附带各种插件、木马和病毒,并在安装过程中用户不知情情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制;有些病毒利用arp欺骗,影响到整个片区办公电脑的正常工作;

4. 一些计算机爱好者利用办公电脑作为学习电脑的工具,私自开启DHCP服务器,导致办公电脑不能正常获取IP,导致用户计算机与应用系统服务器的通讯中断。

5. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。

网络行为管理和维护策略

策略1:启用网络准入系统。借助于深信服SINFOR M5400-AC产品的网络准入系统,识别内网用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不许上网。这样从根本上提高了企业用户计算机的安全性,减少了企业遭受蠕虫、病毒、木马及间谍软件的风险。

策略2:借助于深信服SINFOR M5400-AC产品的网络行为识别功能,对从常规端口过来的数据包进行特征码检测,从而达到彻底封锁BT、QQ、MSN等软件。目前由于处于基建期间,各专业存专工使用QQ和MSN等IM软件的即时文字消息和厂家进行沟通和交流,可以对这部分用户开放QQ和MSN 等IM软件的即时文字交流,对其他用户的IM通讯进行封堵。

策略3:借助于深信服SINF OR M 5400-AC产品的入侵识别系统,使得信息系统管理员可以根据记录进行统计分析,发现有潜在危险的办公计算机,可以有针对性地进行预防性检查。

实施效果

实施上述策略后,基本上能为厂区内所有办公电脑提供一个正常的健康的办公环境,主要表现在以下方面:

1. 网络满足全厂人员在厂区局域网络内办公的需求,接入因特网的速度也比较满意;

2. 基本杜绝了病毒爆发;

3. 业务性和管控性加强。

4. 很容易查找和定位带病毒运行的计算机,

5. 系统具备一定主动识别和预防的能力,发现有潜在危险的办公计算机,并进行针对性的预防检查。

误读8 :SSL没有IPSec安全

误读剖析

VPN应该是一个网管们非常熟悉的技术了。但我们通过调查发现,依然有很多用户对VPN的安全性存在顾虑,而对于在国内逐渐“热”起来的SSL VPN,很多用户对其的了解也存在多多少少的误区。其中,对SSL VPN安全性比较低的认识就是一个常见的误解。

IPSec VPN的应用优势体现在网对网(Network to Network)的连接,这也是SSL VPN一直无法完全替代IPSec VPN的地方。而IPSec VPN的安全策略也都体现在网络对网络的加密,既对网络间建立的VPN隧道进行保护。

SSL VPN主要用于点到应用(Peer to APP)的保护,也就是单点用户(终端)和应用之间的加密,相当于把局域网中的应用资源通过SSL VPN映射给不同的访问用户。

由于IPSec VPN运行在网络层,局域网中的应用对于接入用户来说是完全透明的,而接入的用户在网络中所进行的行为对IPSec VPN来说也是透明的。这就产生了一个问题,就是管理员无法对接入用户的权限进行细致划分,对用户的访问情况也一无所知。这将产生一个隐患,就是内网资源被接入用户任意使用,而管理员却毫无办法。

和IPSec VPN相比,SSL VPN的安全性有以下几个方面的提高:

首先, SSL VPN隧道是在客户到所访问的资源之间建立的,而不是网络层。所以管理员可为不同身份的用户划分特定的资源访问权限,这就避免了核心应用被权限较低的用户所使用。

其次,由于SSL VPN是端对端的安全保护,局域网和因特网上传输数据都不是透明的,客户对资源的操作都需要经过安全的身份验证和加密,这将大大降低数据被窃取的几率。

另外,SSL VPN是将内部的服务器端口统一映射为https服务进行发布,减少了端口的开放数量,降低了被攻击的风险;同时,和IPSec将内部局域网开放给接入的用户不同,SSL VPN仅仅把自身的443端口向外发布,客户端的病毒只有是针对特定应用系统的,才有可能传播给SSL VPN网关,否则往往到SSL VPN就截止了,更不用说感染到内网的其他PC。而IPSec VPN就不同,受病毒感染的主机很容易把病毒带到内网。

所以,综合的比较起来,SSL VPN的安全性要远胜于IPSec VPN,只要配合以安全的认证手段并采取完备的访问控制策略,SSL VPN完全可以胜任局域网应用在Internet上的安全扩展。

成功案例

宁煤集团分为煤业企业和非煤企业两大机构,在全自治区各地都有自己的子公司和网点,这些部门之间因沟通很少。在未部署深信服SINFOR SSL VPN网关之前,宁煤集团总部内部采用一套ERP系统,只在公司内部,员工之间可以实现协同办公。对于出差员工出差在外时,只能通过传统的PPTP(点对点隧道协议)来访问公司内部资源,但PPTP的安全性和控制策略能力有限,不能满足公司对数据安全性和访问控制的要求,对于分支机构与总部之间的联系,也存在同样的问题。

根据宁煤集团的业务状况,深信服公司为其提供了一套双效合一的VPN解决方案,解决了其信息化建设的当务之急。

解决方案

应用深信服SINFOR SSL VPN后的宁煤集团网络拓扑图如上,将SINFOR SSL VPN网关安装于公司总部的入口,以单臂模式部署,即直接用一根网线将SINFOR SSL VPN网关的LAN口和宁煤集团网络中心的3层交换机相连,并给SINFOR SSL VPN网关分配一个内网管理IP地址,接着再放行前置防火墙的443端口和4009端口分别对SSL VPN和IPSEC VPN进行监听。宁煤集团下属分公司、发运站通过部署SINFOR IPSEC VPN系列硬件网关与总部的SINFOR IPSEC/SSL 二合一VPN网关建立IPSEC VPN 隧道进行网对网连接;移动办公用户通过使浏览器进行远程接入。

通过深信服SSL VPN解决方案,宁煤集团实现了安全、便于管理的远程互联:

安全的VPN网络

深信服SSL VPN网关是首家基于IPSEC/SSL VPN功能于一体的解决方案,通过多重安全认证机制对客户端身份进行合法性校验。

管理员通过角色管理为不同的用户分配相应的权限,并把帐号以证书的方式下发给内部用户,用户访问SSL VPN网关时必须通过USB KEY或数字证书才能接入总部网络,进而访问私网中的ERP系统、文件管理系统、OA系统的服务器,达到同在办公室办公的员工访问服务器一样的效果,实现了远程的协同办公。

宁煤集团总部管理员还把这种认证方式在整个集团的财务部门进行了推广使用,保证了财务人员接入财务数据库时的安全性。SINFOR SSL VPN通过强大的接入控制特性,对不同账号分别给予灵活多样的策略,用户连接Internet后,通过VPN网关,根据给定访问权限可以访问。

另外,由于客户端感染病毒和木马的机率较大,这些安全隐患有可能通过SSL VPN隧道传播到总部宁煤集团内网,现在很多知名的SSL VPN厂商,例如: 深信服、juniper、Aventail等都具备客户端安全检查(如:是否打SP2补丁、是否安全指定杀毒软件等等)的机制,SINFOR SSL VPN除了能对客户端做安全检查之外,还可以按安全检查的划分各种安全等级,不同安全等级分配不同的访问权限,更进一步保证宁煤集团内网的安全。

可管理的VPN网络

由于深信服SSL VPN网关支持远程管理,管理员可以不在办公室就可对SSL VPN网关的策略进行编辑和修改,而这个过程都是经过加密保护的,方便了用户的管理和维护。

SINFOR宁煤集团SSL VPN应用解决方案不仅保证了外地用户与公司总部之间方便、自由、安全、灵活的联系方式,而且能够保证数据传输的完整性、保密性;同时,其强大的基于策略的 VPN配置和监控,可以优化网络资源,为用户提供详尽的接入控制,当新用户加入VPN网络时,不需改变网络的原来架构,只须在总部进行简单设置即可;从而不仅帮助企业节约资金,而且通过不同等级的服务质量保证提供充分的安全保障。

误读9:虚拟化是万能药

误读剖析

虚拟化是近年来非常热门的一项技术,其根本原理就是把物理资源转变为逻辑上可以管理的资源,打破了物理结构之间的壁垒。这样,所有的资源都透明的运行的在各种各样的物理平台上,资源的管理都将按逻辑方式进行,完全实现资源的自动化分配。

不少用户认为,虚拟化会大大降低服务器的性能,其推测根据也很简单,在一台计算机上运行一套操作系统尚且速度不快,运行多个操作系统岂不是更加糟糕?这种观点相信大多数人都会赞同,然而,真实的情况并非如此,服务器虚拟化技术其实质是对计算机的各种软硬件资源进行有效的利用和整合,充分发挥计算机各种软硬件资源的效能。实际上,大多数服务器运行速度慢并不是因为系统硬件的问题,而是没有对系统的资源进行充分的利用。据统计大部分服务器的资源利用率很低,仅为15%~20%,如此巨大的资源被闲置,系统性能当然好不到哪去。虚拟化服务器技术正式将这些空闲的资源得到充分的发挥,使得系统的整体性能得到提升。

虚拟化不仅仅只是对IT资源进行有效整合,同时也是对整个系统的资源进行的全面调整和优化,其实,系统性能的高低和底层资源的合理分配和优化密不可发,如果底层资源的分配不合理或者性能较低,那么系统的整个性能将收到严重影响。

虚拟化技术通过将处理器、内存、存储器和网络等底层资源进行重新的调配、组织和优化,通过大量的硬件资源资源共享,使得这些底层资源的分配更加合理,效率更加提高,因此,使得整个系统的性能得到了提升。

其实,虚拟化的优势不仅仅限于提升系统整体性能,提高系统利用率,简化资源管理,实现资源的自动化分配,才是虚拟化更大的优势。

解决方案

ESX Server 3.0 是VMware虚拟架构套件VI3的基础组成部分,是动态、自我优化的 IT 基础结构的基础。 VMware ESX Server是一个强健、经过生产验证的虚拟层,它直接安装在物理服务器的裸机上,将物理服务器上的处理器、内存、存储器和网络资源抽象到多个虚拟机中。通过跨大量虚拟机共享硬件资源提高了硬件利用率并大大降低了资金和运营成本。通过高级资源管理、高可用性和安全功能提高了服务级别??对于资源密集型的应用程序也不例外。

每一台虚拟服务器都可以利用VMware 虚拟对称式多重处理 (SMP)技术,通过使单个虚拟机能够同时使用多个物理处理器,增强了虚拟机性能。作为一项独特的 VMware 功能,Virtual SMP 支持虚拟化需要多处理器和密集资源的企业应用程序(如数据库、企业资源计划和客户关系管理)。

该用户方案中,采用SAN集中存储方式,这样可以将每个虚拟机的文件系统创建在共享的SAN集中存储阵列上,VMware VMFS 虚拟机文件系统,是一种高性能的群集文件系统,允许多个ESX Server 安装同时访问同一虚拟机存储。支持通过 VMware VirtualCenter、VMware VMotion技术、VMware DRS 和 VMware HA 提供的基于虚拟化的分布式基础结构服务。由于VMware的虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件,通过将这些文件放在SAN存储阵列上的VMFS文件系统中,可以让不同服务器上的虚拟机都可以访问到该文件,从而消除了单点故障。

为了对服务器虚拟架构进行有效的管理和监控,方案中建议配置一台独立的Windows 2003服务器来做为VI3套件中的Virtual Center服务器,VirtualCenter服务器为 IT 环境提供了集中化管理、操作自动化、资源优化和高可用性。基于虚拟化的分布式服务为数据中心提供了前所未有的响应能力、可维护性、效率和可靠性级别。

以下 VirtualCenter附属产品提供了资源优化和高可用性特征。

使用VMware DRS将可用资源与预定义的业务优先事务协调起来,同时使用 VMware分布式资源调度程序优化劳动力密集型和资源密集型操作。

使用 VMotion迁移运行中的虚拟机和执行无中断的 IT 环境维护。

使用 VMware HA 实现经济高效、独立于硬件和操作系统的应用程序可用性。

VirtualCenter 提供了管理任意规模的虚拟 IT 环境所需的最高级别的简便性、效率、安全性和可靠性。

最后,通过使用VMware Consolidated Backup软件,可以为虚拟服务器提供易于使用、集中化的备份工具,它使虚拟机内容能够从一个集中的Windows 2003代理服务器(而不是直接从ESX Server)中进行备份,它可与其他商业备份软件完美协调工作,由于只需要在备份代理服务器上配置商业备份软件的Agent,而不是象传统服务器群方式下,每台服务器都需要配置备份软件的Agent,可以大幅节省用户用户购买这些Ag

标签: https ssl ssl vpn web服务器 安全 包过滤防火墙 标准 代理服务器 代码 电子邮件 防火墙 访问服务器 服务器 服务器端 服务器技术 服务器

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:九城回应方正巨额索赔

下一篇:戴尔延迟交货只道歉不赔偿